【安全资讯】FIN7组织试图利用恶意U盘，入侵美国国防公司

引言

1月7日，美国联邦调查局(FBI)发布警报称， FIN7犯罪团伙在过去几个月中向美国国防工业的公司寄送了恶意USB设备，试图部署勒索软件。

简况

FIN7犯罪团伙自2021年8月起，使用美国邮政服务(USPS) 和联合包裹服务(UPS)，将恶意包裹邮寄给运输和保险行业的企业，并从2021年11月开始针对美国国防行业的公司。该团伙邮寄的包裹包含带有LilyGO标志的“BadUSB”或“Bad Beetle USB”设备，这些设备已被攻击者武器化。

FIN7运营商冒充亚马逊和美国卫生与公众服务部 (HHS)，诱使受害者打开包裹并将 USB设备连接到他们的系统。自 8 月以来，这些恶意包裹还包含有关 COVID-19 指南或伪造礼品卡的信件以及伪造的感谢信，以欺骗受害者。受害者将USB驱动器插入计算机后，它会自动注册为人机接口设备 (HID) 键盘，然后在受感染的系统上安装恶意软件有效负载。

FIN7 在此类攻击中的最终目标是访问受害者的网络并使用各种工具（包括 Metasploit、Cobalt Strike、Carbanak 恶意软件、Griffon 后门和 PowerShell 脚本）在受感染的网络中部署勒索软件（包括 BlackMatter 和 REvil）。攻击流程如下图：

总结

FIN7 所尝试的攻击被称为 HID 或 USB 驱动攻击，只有当受害者愿意或被诱骗将未知 USB 设备插入其设备时，攻击过程才能成功开展。因此，研究人员建议用户不要在设备上使用未知来源的USB。